Microsoft Sentinel ist eine Cloud-native SIEM- und SOAR-Lösung. Microsoft 365 bietet integrierte Sicherheitsfunktionen zu Azure Active Directory (Entra), Microsoft Defender für Office 365, Microsoft Defender für Endpoint und Microsoft Cloud App Security. Diese Funktionen decken jedoch nicht alle möglichen Angriffsvektoren und Schwachstellen ab, die Hacker ausnutzen könnten. In diesem Blog-Beitrag untersuche ich, wie Microsoft Sentinel die Funktionen von Microsoft Defender XDR (und anderen Defender Produkten) erweitert.
Microsoft Defender XDR
Hinweis: Microsoft 365 Defender hat an der Microsoft Ignite 2023 ein Rebranding erfahren und heisst jetzt Microsoft Defender XDR.
Microsoft 365 Defender bietet umfassenden Schutz vor einer Vielzahl von Angriffsvektoren wie Phishing, Malware, Ransomware, Identitätsmissbrauch und Datenschutzverletzungen. Er nutzt künstliche Intelligenz und maschinelles Lernen, um Unmengen von Signalen in Microsoft-Diensten und Drittanbieterquellen zu analysieren und Bedrohungen wenn möglich automatisch zu blockieren oder zu beseitigen. Während Microsoft 365 Defender ein durchaus wertvolles und mächtiges Tool ist, deckt die Lösung, wie in der Einleitung bereits beschrieben, nicht restlos alle möglichen Angriffsvektoren und Schwachstellen ab. Weiter gibt es in Punkto effizientem Incident-Handling, automatischer Reaktion und Hunting Verbesserungspotential. An dieser Stelle kommt Microsoft Sentinel ins Spiel.
Microsoft Sentinel
Die SIEM-Lösung «Microsoft Sentinel» sammelt Daten aus verschiedenen Quellen und analysiert diese. Die Daten stammen dabei aus eingesetzten Azure-Diensten, lokalen Systemen und anderen Cloud-Anbietern und eben Microsoft 365 Defender. Sentinel ermöglicht es Organisationen einen ganzheitlichen Überblick über die Sicherheitslandschaft zu gewinnen, Anomalien und verdächtige Aktivitäten zu identifizieren und Untersuchungen mit KQL-Queris durchzuführen. Diese Funktionalitäten helfen dabei die Reaktion auf Incidents mithilfe von Playbooks (Logic-Apps) zu automatisieren und benutzerdefinierte Warnungen und passende Dashboards (Workbooks) zu erstellen.
Doch nun zurück zum eigentlichen Thema. Was ist denn der effektive Nutzen, wenn ich meinen Microsoft 365 Defender mit Microsoft Sentinel verknüpfe? Die Funktionen von Microsoft 365 Defender decken wie schon mehrfach erwähnt nicht alle möglichen Angriffsvektoren und Schwachstellen ab. So werden beispielsweise lateral movement, domänenübergreifende Angriffe oder advanced persistent threats möglicherweise nicht erkannt.
Sentinel vs Defender
Die folgende Tabelle dient zur groben Übersicht und besserem Verständnis, wie sich die Funktionen der beiden Produkte unterscheiden.
| Capability | Microsoft 365 Defender | Microsoft Sentinel |
|---|---|---|
| Data sources | Microsoft 365 Daten hauptsächlich | Microsoft 365-Daten und andere Cloud- und firmeninterne Daten (beliebig) |
| Analytics rules | Nur vordefinierte Regeln | Vordefinierte Regeln, benutzerdefinierte Regeln, and community Regeln (GitHub) |
| Investigation | Graphical interface and advanced hunting queries | Graphical interface and advanced hunting queries |
| Response | Vordefinierte Aktionen und Automatisierung | Vordefinierte Playbooks, benutzerdefinierte Playbooks und Integration mit anderen Tools |
| M365 Log Retention | 7 – 180 Tage, max 30 Tage aktiv (depending on plan & type) | 90 Tage aktiv (gratis), bis zu 2 Jahre. Zusätzlich 10 Jahre Archivierung möglich. |
| Integration | Hauptsächlich mit anderen Microsoft-Sicherheitslösungen integriert | Integriert in andere Microsoft-Sicherheitslösungen und Lösungen von Drittanbietern. |
Wie aus der Tabelle herausgelesen werden kann, bietet Microsoft Sentinel mehr Flexibilität als auch Funktionalität als die Microsoft 365 Defender Standalone-Lösung. Das ist der Grund, warum der Microsoft 365 Defender mit Sentinel ergänzt werden sollte. Denn durch die Einbindung von Microsoft 365 Defender in Microsoft Sentinel entstehen folgende Vorteile:
- Verbesserte Transparenz: Microsoft Sentinel kann Daten von Microsoft 365 Defender aufnehmen und sie mit anderen Quellen korrelieren, um ein umfassendes Bild der Bedrohungsumgebung zu erstellen. Unternehmen können Microsoft Sentinel auch nutzen, um den Zustand und die Leistung ihrer Microsoft 365 Defender-Komponenten wie Geräte, Benutzer, Postfächer und Anwendungen zu überwachen.
- Schnellere Reaktion: Microsoft Sentinel kann basierend auf vordefinierten oder benutzerdefinierten Regeln Aktionen in Microsoft 365 Defender auslösen, wie z. B. die Isolierung eines gefährdeten Geräts, das Blockieren einer bösartigen E-Mail oder das Zurücksetzen eines Benutzerkennworts. Unternehmen können mit Microsoft Sentinel auch komplexe Reaktionsszenarien orchestrieren, an denen mehrere Teams und Systeme beteiligt sind.
- Geringere Komplexität: Microsoft Sentinel kann die Verwaltung vereinfachen, da alle Sicherheitsdaten und -warnungen in einem einzigen Fenster angezeigt werden. Unternehmen können auch die in Microsoft Sentinel integrierten Funktionen wie Konnektoren, Arbeitsmappen, Analysen und Vorfälle nutzen, um Aufwände für manuelle Konfiguration und Wartung zu verringern.
- Es bietet sofort einsatzbereite Vorlagen für Analyseregeln, die helfen, verdächtige Aktivitäten und Anomalien in der Microsoft 365-Umgebung zu erkennen, z. B. Kompromittierung von Konten, Datenexfiltration, Phishing-Kampagnen, Ransomware-Angriffe und mehr. Es können auch eigene benutzerdefinierte Regeln erstellt oder Regeln aus der Community importieren werden.
- Vorfälle über eine grafische Oberfläche untersuchen: die die Beziehungen zwischen Entitäten und Ereignissen anzeigen. Es können auch erweiterte Suchabfragen verwendet werden, um in Datenquellen nach Indikatoren für eine Gefährdung zu suchen. Dies hilft den Umfang und die Auswirkungen des Angriffs zu verstehen und die Grundursache zu finden und Massnahmen einzuleiten.
Mehrkosten
Microsoft Sentinel ist eine Azure Lösung, die auf der Log Analytics Workspace Ressource basiert. Logdaten, die in diesen Workspace und somit Sentinel geschrieben werden, verursachen zusätzliche Kosten. Die Kosten werden aus mehreren Faktoren berechnet.
- Log Ingestion
- Log Retention
- Search Queries & Jobs
Die Kosten sind also wesentlich davon abhängig, wie viele Logdaten produziert und wie lange diese aufbewahrt werden (wobei zu beachten ist, dass 90 Tage Aufbewahrung gratis ist). Die effektiven Kosten lassen sich also nur schwierig voraussagen und es ist Vorsicht geboten. Allerdings existieren diverse Datentypen, die von Sentinel bzw. Log Analytics Workspace keine zusätzlichen Kosten verursachen und gratis in Sentinel eingespeist werden können. Es handelt sich dabei um die folgenden Konnektoren und Datentypen.
| Microsoft Sentinel data connector | Free data type |
|---|---|
| Azure Activity Logs | AzureActivity |
| Microsoft Entra ID Protection | SecurityAlert (IPC) |
| Office 365 | OfficeActivity (SharePoint) |
| OfficeActivity (Exchange) | |
| OfficeActivity (Teams) | |
| Microsoft Defender for Cloud | SecurityAlert (Defender for Cloud) |
| Microsoft Defender for IoT | SecurityAlert (Defender for IoT) |
| Microsoft Defender XDR | SecurityIncident |
| SecurityAlert | |
| Microsoft Defender for Endpoint | SecurityAlert (MDATP) |
| Microsoft Defender for Identity | SecurityAlert (AATP) |
| Microsoft Defender for Cloud Apps | SecurityAlert (Defender for Cloud Apps) |
Diese Konnektoren und Datentypen lassen sich also gratis aktivieren. Marginale Kosten werden aber auch dann durch die eingesetzten Search Queries anfallen.
Persönliche Schlussfolgerung
Microsoft 365 Defender ergänzt mit Microsoft Sentinel bringt diverse Vorteile mit sich. Insofern man sich auf die gratis Datenquellen beschränkt, erhält man diese Vorteile sogar fast kostenlos. Die höhere Flexibilität, die zusätzlichen Automatisierungsmöglichkeiten, die längere Aufbewahrungsfrist und die bessere und längere Durchsuchbarkeit der Logdaten (Stichwort aktiv/passiv) die Sentinel mit sich bringt legen es nahe: Meiner Meinung nach sollte Microsoft Sentinel für jede Microsoft 365 Umgebung aktiviert werden, in denen Sicherheit eine Bedeutung hat. Dies auch dann, wenn Sentinel noch gar nicht aktiv verwendet und verwaltet wird. Denn im Falle eines Vorfalles sind mehr Möglichkeiten vorhanden als ohne. Ist Microsoft Sentinel für Microsoft 365 ein «must have»? Für mich ist diese Frage mit Ja zu beantworten.
German 
English